1 引言
随着网络的普及以及企业数字化转型的新形势,网络与信息安全的挑战日
益严峻。企业业务系统经过多年发展,呈现多样化、复杂化、重要性高的特点 。
企业内部大量系统通过网络互联,在为业务提供支撑的同时,也导致威胁暴露
面增加,威胁风险大幅度提高。各种业务系统由大量不同语言类型、不同平台
的代码构成,这些代码造成的安全漏洞是被黑客入侵的最主要原因。同时,伴
随着互联网产业的发展,大量使用开源软件成为趋势。而开源软件大部分来自
企业外部,特别是国 外 , 这些开源 软 件 暗藏的漏 洞 同 样是黑客 攻 击 的重点 。
Gartner 统计,几乎 75%的黑客攻击来自代码漏洞。这导致供应链上代码的漏洞
也成为了重大的安全威胁。
代码安全检测分二进制代码检测和源代码安全检测,基于二进制代码的检
测适用度较差,要求苛刻,故本文主要讨论源代码的安全检测。若直接对源代
码进行人工审查,效率低下且测试结果差异巨大,故代码审计系统多采用自动
化的源代码检测和人工审计相结合的方法。主流的自动化源代码检测技术包括
SAST ( static analysis security testing , 静 态 源 代 码 安 全 扫 描 ) 、
DAST ( dynamic analysis security testing , 动 态 源 代 码 安 全 扫 描 ) 、
IAST(interactive application security testing,交互式扫描)。DAST 的适用
范围较窄,IAST 的提出较晚,形成的成熟应用软件较少,而 SAST 伴随代码安
全审计技术的提出发展至今,已经较为成熟,也成为业内占有率较高的自动化
检测方式。SAST 通过对代码静态特征进行扫描,识别代码中的安全缺陷风险,
提供分析和修复建议,帮助企业识别系统源代码中的安全风险,提早修复代码
中的安全漏洞,从而保障系统安全性,提升企业整体安全保障能力。
目前,基于 SAST 的代码安全审计主要和企业安全开发流程相结合,内嵌
于软件开发流程为企业提供安全保障。由于技术自身特点,基于代码缺陷特征
值的静态检测的检测结果中安全缺陷误报率较高。同时由于软件开发中代码数
量的日趋增长以及 DevOps 等新型开发模式的引入,企业对于开发迭代速度的
要求逐步提高,误报率较高的问题成为制约代码安全审计推广和应用的一大阻
碍。本文结合目前代码审计技术特点和软件开发应用场景,探讨如何降低基于
SAST 的代码审计中的缺陷误报率,为企业应用代码安全审计推广提供参考指
导。
2 代码安全审计误报率成因分析
2.1 代码安全审计方法简介
代码安全审计可以通过人工审查和自动化扫描方式进行。目前,伴随着
DevOps 等的快速迭代,持续集成开发等软件开发流程的应用,基于自动化安
全测试的安全审计成为代码安全审计的主流,并且在强调“测试左移”概念的如今
为了尽可能在更早的环节中进行测试,对代码审计的效率和精度也提出了更高
的要求。
整个安全审计的核心是源代码的安全扫描,目前使用的代码安全自动化扫
描测试方式主要如下。
资源评论
罗伯特之技术屋
- 粉丝: 4430
- 资源: 1万+
下载权益
C知道特权
VIP文章
课程特权
VIP享7折,此内容立减5.97元 开通VIP
最新资源
- java-leetcode题解之Populating Next Right Pointers in Each Node.java
- java-leetcode题解之Plus One.java
- java-leetcode题解之Play with Chips.java
- java-leetcode题解之PIO.java
- java-leetcode题解之Permutation Sequence.java
- java-leetcode题解之Permutation in String.java
- java-leetcode题解之Perfect Squares.java
- java-leetcode题解之Path with Maximum Gold.java
- java-leetcode题解之Path Sum III.java
- 表单表格与选择器高级资源包
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
